什么是影子IT,涉及哪些风险

影子 IT 是组织内使用的软件、硬件或服务，不为组织的 IT 部门所知，也不受其监控,这相当于员工使用未经授权的资源操作并行 IT 设置。影子 IT 的使用很容易危及组织的 IT 安全，由于这些未经批准的应用程序在 IT 部门的监视下溜走，它们的安全性仍然值得怀疑，如果不及时发现，它们可能会对您的网络造成严重破坏。发生这种情况时，IT 管理员被蒙在鼓里，无法监视活动或采取必要的措施，这就是为什么发现影子 IT 很重要的原因。

影子IT的出现

云服务在组织间的逐步采用推动了影子 IT 的出现，Gartner 首席研究分析师 Brian Lowans 表示，这些未经批准的云服务购买正在增加数据泄露和金融负债的风险。

影子 IT 在许多员工中很受欢迎，因为它规避了等待 IT 管理员批准的耗时且繁琐的过程，当员工对他们用于完成工作任务的资源行使偏好时，影子 IT 就会出现。由于各种原因，员工使用第三方资源而不是其组织的批准资源，包括：

• 该员工具有特定应用的经验和专业知识。
• 该应用程序具有比批准的应用程序更好的功能。
• 组织尚未批准完成特定任务的申请。例如，员工可能会使用 Adobe Premiere，因为组织没有提供其他视频编辑工具。

发现影子 IT

发现影子 IT 是检测组织内正在使用的未经授权的服务的过程。检测正在使用的服务及其使用量有助于 IT 部门规范影子 IT。以下是检测影子 IT 的几种方法：

• 员工调查：定期进行员工调查可以帮助 IT 部门深入了解正在使用的未经授权的服务。
• 网络流量分析：IT 部门可以监控网络流量，以识别组织内正在使用的未经授权的应用程序和云服务。
• 端点检测和响应 （EDR）：EDR 工具可用于监视终结点活动，以检测未经授权的应用程序和云服务。
• 云访问安全代理 （CASB）：CASB 可用于识别和监控未经授权的云服务的使用。

网络安全中的影子 IT

员工利用影子 IT 来提高他们的生产力，但在这样做时很少考虑对 IT 管理员的影响。

从网络安全的角度来看，这些未经授权的服务可能没有足够的安全措施，例如加密、访问控制或安全数据存储，这可能导致敏感数据暴露给未经授权的个人，包括网络犯罪分子。

此外，缺乏对影子 IT 的监督和控制可能使 IT 部门难以检测和响应安全事件，这可能会延迟事件响应，并增加数据丢失或系统泄露的可能性。

影子 IT 示例

影子 IT 可以根据用户的意图采取各种形式。一些广泛使用的应用包括：

• 云服务：用于文件存储、共享或协作的云存储服务，例如 Google Drive 或 Dropbox。
• 消息传递应用程序：Slack 和 Yammer 等应用程序，用于构建业务讨论论坛。
• 个人设备：使用易受攻击的个人手机或笔记本电脑进行远程工作。
• 软件应用程序：各种软件可用于消除繁琐的任务、简化工作流程和提高生产力。
• 社交媒体：像 LinkedIn 这样的应用程序，用于网络、潜在客户或任何与工作相关的任务。

影子 IT 涉及哪些风险

员工可能没有意识到，在选择和批准批准使用的资源的过程中，组织会采取适当且必要的预防措施来确保数据安全。

以下是与影子 IT 相关的一些风险：

• 数据漏洞
• 协作效率低下
• 恶意软件
• 监管不合规

数据漏洞

当员工使用第三方资源完成任务时，他们会有意或无意地打开网关进行数据泄露。由于 IT 管理员缺乏对这些应用程序的可见性和控制，因此无法管理复制或上传到这些资源的任何机密数据。例如，在用于工作项目的同一台计算机上处理自己的财务文档的员工可能会使用首选的影子 IT 应用程序。这种暴露可能会使个人财务文档中的信息以及与工作相关的文件中的信息容易受到数据泄露的影响，因为影子 IT 应用程序未向组织的 IT 安全团队注册或受其监控。

协作效率低下

当员工使用不同的技术和应用程序来完成相同的一般任务时，与其他成员协作的可能性通常会受到影响。例如，使用 Google 表格的会计师将无法与使用 Microsoft Excel 的另一位会计师轻松协作。

恶意软件

在某些情况下，员工使用他们的个人设备（例如智能手机、笔记本电脑和闪存驱动器）来完成他们的任务。这为威胁行为者将恶意软件和勒索软件注入这些个人设备铺平了道路，为渗透组织奠定了基础。组织环境中使用的个人设备称为 BYOD，它代表自带设备。BYOD 在使用未经授权的设备时也可能发挥至关重要的作用，从而导致影子 IT。

监管不合规

许多组织都严格控制数据处理。影子 IT 允许将受监管的数据移动到基于云的应用程序和未经授权的系统中，而 IT 管理员无法对其进行监控。这可能会导致违规行为、罚款和投资者之间的信任丧失。

影子 IT 策略

组织看到远程工作和 BYOD 策略稳步上升，导致影子 IT 激增，随着对未经授权的服务的日益使用，组织对影子 IT 进行监管变得至关重要。组织范围的影子 IT 策略必须：

• 明确定义被视为影子 IT 的内容。
• 描述员工在使用影子 IT 时的角色和职责。
• 概述员工必须如何报告影子 IT 应用程序的使用情况。
• 说明如果员工不报告影子 IT 使用情况的后果。
• 概述新技术服务的审查和批准流程。

如何应对影子 IT

管理影子 IT 可能具有挑战性，但可以采取措施降低风险。以下是缓解影子 IT 的一些方法：

• 检查现有的影子 IT
• 教育和准则
• 风险评估和限制

检查现有的影子 IT

IT 管理员应进行调查和问卷调查，以确定其组织中是否存在影子 IT，有必要跟踪远程用户正在连接到哪些资源，并检查他们的活动是否受到持续监控，对未知设备、应用程序和网络进行一致的扫描和监控是检测任何影子 IT 的有效方法。

教育和准则

员工需要了解使用未经授权的资源时可能发生的后果，应定期召开虚拟或面对面会议，以教育员工了解影子 IT 的危险，为了满足不同员工和部门的需求，IT 管理员可以共享可用于完成任务的已批准应用程序、服务和硬件列表。

风险评估和限制

员工使用多种应用程序和设备，但并非每个应用程序和设备都构成威胁，IT 管理员需要评估应用程序或设备是否能够对组织造成任何威胁，并且他们应该能够采取必要的措施，例如阻止包含恶意软件的设备。IT 管理员应限制对任何容易出现风险的第三方应用程序的访问。

影子 IT 解决方案

在各行各业中，组织都必须加强其 IT 基础架构以应对影子 IT，部署具有云保护功能的 DataSecurity Plus 等工具可以帮助您：

• 鸟瞰组织中的 Web 应用程序使用情况。
• 了解正在使用哪些已批准、未批准的和影子应用。
• 检测访问被禁止和影子网站的尝试。
• 防止员工访问非生产性、不安全和不适当的网站。